Kredyty obrazkowe: S3studio/Getty Images/Getty Images
Google zidentyfikował zero dni w Chrome, które znalazł pracownik Apple, Zgodnie z komentarzami w oficjalnym raporcie o błędzie. Chociaż sam błąd nie jest warty opublikowania, okoliczności, w jakich został znaleziony i zgłoszony do Google, są co najmniej dziwne.
Według pracownika GoogleBłąd został pierwotnie znaleziony przez pracownika Apple, który brał udział w marcowym konkursie hakerskim Capture The Flag (CTF). Ale ten pracownik Apple nie zgłosił błędu, którego wtedy było zero – co oznacza, że Google nie wiedział o błędzie i łatka nie została jeszcze wydana. Zamiast tego, błąd został zgłoszony przez kogoś innego, kto również brał udział w konkursie.Tak naprawdę sam nie znalazł błędu, a nawet nie był w zespole, który go wyłapał.
„Ten problem został zgłoszony przez sisu z zespołu CTF HXP i został odkryty przez członka Apple Security Engineering and Architecture (SEAR) podczas HXP CTF 2022” – napisał Googler.
Po pierwszym opublikowaniu tej historii TechCrunch zobaczył kanał Discord, na którym ktoś podający się za pracownika Apple, który pierwotnie znalazł Zero-Day, wyjaśnił swoją wersję historii, w szczególności dlaczego nie zgłosił błędu od razu, w odpowiedzi na sisu, osobę, która zgłosiła błąd do Google.
„Praca nad tym na pełny etat zajęła mi dwa tygodnie, zanim doszedłem do sedna, dlaczego” – pisze [the] Wykorzystać [Proof of Concept] I zapisz problem, aby można go było rozwiązać” – napisała osoba, która 6 lipca była obok Galileo.
Zostało to zgłoszone 5 czerwca przez moją firmę. Tak, było późno i jest wiele powodów. Najpierw musiałem znaleźć osobę odpowiedzialną, raport musiał być podpisany przez ludzi, a następnie osobą odpowiedzialną była OOO. To godne pochwały, że Chrome zdecydował się naprawić to jak najszybciej, ale myślę, że nie było pilnej potrzeby. Tylko ty i mój zespół byliście tego świadomi i prawdopodobnie problem nie byłby duży w rzeczywistym scenariuszu (nie działa na Androidzie, jest bardzo widoczne, ponieważ zawiesza GUI Chrome na kilka sekund), napisał Galileo.
Galileo i Sesso nie odpowiedzieli natychmiast na prośbę o komentarz.
Apple nie odpowiedział na prośbę o komentarz.
Rzecznik Google, Ed Fernandez, powiedział TechCrunch w e-mailu, że „nasze ogólne zrozumienie jest błędne”.
„Zalecamy skontaktowanie się z Apple w celu uzyskania szczegółowych informacji” – napisał Fernandez.
Nierzadko zdarza się, że drużyny CTF i gracze CTF znajdują zero dni podczas zawodów, zwłaszcza w tego typu wyzwaniach i „wysokich” zawodach, według Filippo Cremonese, badacza zaangażowanego w zawody CTF z włoską drużyną. makaronktóra, nawiasem mówiąc, może być najlepszą nazwą zespołu piratów w historii.
To, co sprawia, że historia tego błędu jest interesująca, to fakt, że najwyraźniej został on odkryty przez pracownika Apple w produkcie Google iz jakiegoś powodu pracownik Apple postanowił nie zgłaszać błędu.
w oryginalnym raporcie 26 marca osoba, która zgłosiła błąd, powiedziała, że błąd został znaleziony przez kogoś z zespołu COPY podczas CTF Organizowane przez zespół xhp. Osoba, której nazwiska nie ujawniono w raporcie, powiedziała, że zdecydowała się to zgłosić, nawet jeśli sama tego nie znalazła, ponieważ „nie była w 100% pewna, że została zgłoszona zespołowi Chromium”.
„Więc chciałem być bezpieczny” – napisała osoba.
„Ponieważ to ty ujawniasz ten problem i nie ma duplikatów, wygląda na to, że zespół, który odkrył ten problem, zdecydował się go nam nie ujawniać?” napisał pracownik Google w innym komentarzu do raportu o błędzie.
Błąd został naprawiony 29 marca, zgodnie z raportem o błędzie. Google zdecydowało się przyznać nagrodę za błąd w wysokości 10 000 USD osobie, która go zgłosiła, co znowu nie było osobą, która go znalazła.
Aktualizacja, 20 lipca, 14:30 ET: Ta historia została zaktualizowana, aby zawierała wiadomości Discord opublikowane przez osobę, która twierdzi, że odkryła błąd.